Accéder au contenu principal
(778) 569-0889Essai gratuit
Lock graphic representing Splashtop secure solutions
Sécurité

Discuter de la sécurité, des ransomwares et de ce à quoi les équipes de sécurité devraient penser avec Jerry Hsieh

Temps de lecture : 10 minute
Démarrez avec l'accès à distance et la téléassistance de Splashtop
Essai gratuit
S'abonner
Bulletin d'informationFlux RSS
Partager

Par Michelle Burrows, CMO, Splashtop

Jerry Hsieh a été à l’avant-garde de l’évaluation des risques informatiques et de la sécurité pendant plus de vingt ans de sa carrière, plus récemment en tant que directeur principal de la sécurité et de la conformité chez Splashtop, où il a occupé divers postes informatiques et de sécurité au cours des dix dernières années. Il n’y a pas si longtemps, il s’est entretenu avec Michelle Burrows, CMO de Splashtop, sur ce qui a motivé son intérêt précoce pour la sécurité et sur la façon dont il pense à la sécurité des systèmes, en particulier avec l’augmentation des violations de sécurité très médiatisées au cours des derniers mois.

Michelle Burrows : Jerry, merci de vous joindre à nous. Bien que la sécurité ait fait la une des journaux ces derniers temps, elle avait tendance à être presque une réflexion après coup dans le passé. Comment avez-vous commencé à vous intéresser à la sécurité ?

Jerry Hsieh : Vous avez tout à fait raison – je me concentre sur la sécurité depuis longtemps et il y a de nombreuses années, les entreprises avaient tendance à ne pas trop penser à la sécurité. J’ai vécu une expérience alarmante en 2003 et cela a fini par renforcer mon intérêt pour la sécurité et l’évaluation des risques.

Michelle Burrows : Cela semble inquiétant, s’il vous plaît dites-moi plus.

Jerry Hsieh : L’entreprise pour laquelle je travaillais a été l’une des victimes d’une attaque DDoS SMTP qui a fini par mettre hors service les services de messagerie d’entreprise, y compris les grandes entreprises et celle avec laquelle j’étais à l’époque. Je me souviens très bien du timing parce qu’il coïncidait avec mon mariage et que c’était la raison pour laquelle je ne pouvais pas vraiment m’amuser à cause de ce qui se passait au bureau.

Cela m’a aussi montré de première main l’impact de quelque chose comme ça. Nous avions travaillé avec une entreprise qui filtrait les e-mails pour protéger des entreprises comme la mienne et d’autres contre une attaque comme celle-ci et elles ont fini par fermer à cause de cette attaque.

J’ai également vu un autre incident de première main qui s’est produit lorsqu’un fichier de produit a été classé comme un virus après que le fournisseur de véhicules antivirus ait mis à jour la définition. Le service informatique et l’équipe d’ingénierie ont passé d’innombrables nuits à rester debout et à essayer de résoudre l’incident car chaque système était affecté et nous avions beaucoup de travail à faire pour nettoyer les fichiers, travailler avec notre fournisseur d’antivirus et corriger les définitions de ce qui était défini comme une attaque.

Michelle Burrows: Wow, je suppose que l’interruption de votre mariage serait un moyen mémorable de comprendre toutes les choses à ne pas faire dans le domaine de la sécurité. Parlez-moi d’autres premières expériences que vous avez eues avec la sécurité.

Jerry Hsieh : J’ai travaillé avec une autre entreprise de l’industrie des semi-conducteurs en tant qu’ingénieur en sécurité. À cette époque, nous travaillions sur la sécurité principalement pour arrêter la contrefaçon de brevet. L’entreprise a embauché beaucoup de personnel de sécurité car nous étions moins chers qu’une salle remplie d’avocats. Cette expérience m’a fait voir la sécurité comme un moyen de protéger la propriété intellectuelle d’une entreprise.

Michelle Burrows: À l’heure actuelle, il semble que nous entendions parler d’une faille de sécurité ou d’une attaque de ransomware presque quotidiennement. Que peuvent faire les entreprises pour se protéger?

Jerry Hsieh : On me pose la question et j’y réfléchis beaucoup. À mon avis, le maillon le plus faible est généralement l’utilisateur final. La plupart des violations sont causées par une simple erreur – un employé cliquant sur un lien nuisible, enregistrant un fichier dommageable, utilisant un mot de passe faible ou transférant quelque chose. Un seul utilisateur peut alors compromettre l’ensemble du système.

Michelle Burrows : C’est assez intéressant qu’un employé puisse accidentellement faire beaucoup de dégâts. Je pense que beaucoup de gens pensent qu’ils ne seront pas vulnérables à un incident comme celui-ci parce qu’ils ont un pare-feu. Qu’en pensez-vous?

Jerry Hsieh : Un pare-feu donne souvent aux gens un faux sentiment de sécurité. J’entendrai quelqu’un dire : « Je ne serai pas la proie d’une attaque parce que j’ai un pare-feu. » Ce qu’ils ne considèrent pas, c’est que même si vous pouvez mettre en place toutes sortes de protections autour de votre réseau, l’une de vos plus grandes menaces peut en fait être interne. Un pare-feu ne résout pas vos problèmes de sécurité, surtout lorsque les pirates deviennent de plus en plus créatifs pour inciter les employés à cliquer sur quelque chose afin d’entrer dans votre système.

Michelle Burrows : Si un pare-feu n’est pas la seule réponse aux failles de sécurité, que recommandez-vous ?

Jerry Hsieh : Je recommande trois domaines auxquels il faut prêter attention :

  1. Formation / sensibilisation des utilisateurs finaux - Pour moi, c’est l’un des éléments les plus importants sur lesquels se concentrer et depuis que j’ai rejoint Splashtop, j’envoie continuellement des rappels sur les risques de sécurité. Je m’assure que tout le monde voit le message et que tous les employés savent à quel point il est important d’être vigilant. Il est utile que notre PDG, Mark Lee, fasse un suivi avec des messages à notre entreprise qui soulignent l’importance de la sécurité et que c’est la responsabilité de tous. Lorsque les gens savent que c’est quelque chose d’important pour le PDG, ils ont tendance à accorder plus d’attention.

  2. Politiques de sécurité - De nombreuses entreprises ont des politiques de sécurité, mais elles devraient avoir des pratiques en place pour les surveiller et les tester en permanence. Avoir une politique est une bonne première étape, mais l’appliquer est encore plus critique.

  3. Tests d’intrusion continus - L’intégration continue et la livraison/déploiement continus (CI/CD) ont été adoptés par de nombreuses entreprises. Il est important de constamment « tester » votre réseau, vos applications pour voir si des vulnérabilités sont créées au cours du cycle de vie du développement logiciel (SDLC).

Michelle Burrows: Je suis sûre que lorsque vous dites aux gens ce que vous faites dans la vie, certains peuvent avoir l’impression qu’ils ont besoin de « confesser » leur propre mauvaise pratique. Quelle pratique douteuse vous donne le plus de répit ou d’inquiétude?

Jerry Hsieh : Habituellement, personne ne me dit ce qu’ils font, ce qui peut ou non être une pratique exemplaire. J’ai constaté que la plupart des gens ne savent pas ce qu’est la cybersécurité dans la pratique. Ils le voient à la télévision ou dans un film et regardent comment un « méchant » avec une seule commande, détruit tout un système. Et puis ils pourraient aussi penser qu’ils sont à l’abri de cela en raison de leur pare-feu. Ce qu’ils ne comprennent pas, c’est que le « méchant » peut être un seul utilisateur dans votre entreprise. Peu d’incidents de violation de données sont causés par des employés qui deviennent voyous. Ce que les entreprises doivent vraiment adopter, c’est une philosophie « ne faites confiance à personne ». « Ne faire confiance à personne » est l’un des principaux principes du Zero Trust Access (ZTA) que je vois de plus en plus largement adopté.

L’autre idée fausse que certaines personnes ont sur la cybersécurité est que c’est quelque chose que vous pouvez « terminer ». La cybersécurité est quelque chose qui n’est jamais « fait » et il y a toujours place à l’amélioration.

Michelle Burrows : À l’heure actuelle, on accorde beaucoup d’attention à la sécurité, du PDG aux investisseurs en passant par les conseils d’administration. De quoi les entreprises devraient-elles se préoccuper le plus?

Jerry Hsieh : Les entreprises doivent se préoccuper d’un certain nombre de domaines.

  1. Ils doivent procéder à une évaluation approfondie et honnête des risques. Lorsque votre entreprise est attaquée, cela nuit à votre marque et érode la confiance de vos clients, de vos employés et même de votre conseil d’administration. Vous devez évaluer votre risque régulièrement.

  2. Surveillez chaque logiciel, fournisseur de services et matériel de votre réseau. De nombreux départements se disputent fréquemment le temps de l’informatique et souhaitent intégrer les outils « les plus récents et les plus performants » pour tout, des enquêtes clients au marketing et du développement agile au suivi des dépenses. Mais chaque fournisseur, logiciel ou matériel pourrait être vulnérable à une attaque. Vous devez constamment surveiller vos vulnérabilités et vous assurer que les employés mettent à jour leurs logiciels et/ou demander à l’équipe informatique de créer des correctifs de manière proactive en envoyant des mises à jour de manière proactive.

  3. Faites vos recherches. Il existe maintenant des millions de produits et les suivre et les bogues qu’ils pourraient introduire dans votre système est un travail sans fin. Votre équipe de sécurité doit surveiller et rechercher les vulnérabilités en permanence.

  4. Sachez que le vecteur d’attaque a changé. Les pirates sont devenus beaucoup plus intelligents au fil des ans et ont changé leur façon d’attaquer. Alors qu’un e-mail dangereux pouvait être apparent il y a quelques années à peine, ces e-mails sont maintenant personnalisés afin de le rendre plus susceptible d’amener quelqu’un à cliquer. Vous devez constamment tester vos employés afin que la sécurité soit toujours une priorité.

Michelle Burrows :Récemment, il y a eu une annonce selon laquelle les VPN étaient une passerelle pour une attaque. Selon vous, pourquoi les VPN (réseaux privés virtuels) sont-ils particulièrement vulnérables ?

Jerry Hsieh : Oui, les VPN ont été une passerelle pour les attaques du système beaucoup plus ces derniers temps.
À mon avis, les VPN sont utilisés plus fréquemment pour les attaques de ransomware pour plusieurs raisons :

  1. Le VPN est une technologie ancienne et a été introduit à la fin des années quatre-vingt-dix. Lorsqu’une technologie particulière existe depuis si longtemps, il est plus probable qu’il y ait un défaut de conception ou un bogue logiciel critique spécifique au fournisseur, car nous ne savions pas alors tout ce que nous comprenons maintenant. À titre d’exemple, j’ai mis en place mon premier VPN en 1999, en m’appuyant uniquement sur des commandes et en utilisant des interfaces utilisateur (UI) plutôt conviviales. Je repense à cette expérience et peu de choses ont changé et une mauvaise configuration par quelqu’un est très probable.

  2. Un VPN dépend de la configuration correcte de votre service informatique. Je vois souvent que les VPN sont exploités parce qu’il n’y a pas de méthode standard pour configurer, exploiter et distribuer l’accès. Chaque service informatique le configurera d’une manière qui lui convient et qui présente des risques.

  3. Les ordinateurs personnels sont utilisés sur un VPN. Si un employé travaille à domicile et a besoin d’accéder aux fichiers au travail, il n’existe aucun moyen simple d’empêcher l’employé d’utiliser un système non fourni par l’entreprise pour établir un accès VPN. Il existe des outils pour vous aider, mais ils ont tendance à être très coûteux et gourmands en ressources.

  4. Vous pouvez atténuer le point ci-dessus avec une politique qui indique à vos employés qu’ils ne peuvent utiliser leur ordinateur de travail que pour accéder au VPN. Cela introduit alors un autre domaine de risque – les réseaux publics. Si quelqu’un voyage et se connecte via un VPN via un réseau d’accès public, il est intrinsèquement enclin aux attaques.

Michelle Burrows : Quelles alternatives les entreprises peuvent-elles déployer à la place d’un VPN ? Y a-t-il un inconvénient à cette alternative?

Jerry Hsieh : Je sais que cela semble super auto-promotionnel, mais la meilleure alternative est de tirer parti d’une solution d’accès à distance. Et, oui, cela inclut Splashtop. Splashtop aide à atténuer les risques inhérents aux VPN car il vous permet de diffuser uniquement votre bureau. Cela signifie que les données de votre réseau d’entreprise sont protégées car vous pouvez simplement les visualiser. Toutes les données sont toujours à l’intérieur de votre réseau d’entreprise.

En revanche, lorsque je suis sur un VPN, je peux commencer à télécharger ce que je veux, ce qui signifie que les pirates peuvent faire de même. Lorsque j’utilise un outil comme Splashtop, je peux visualiser et utiliser le fichier, mais je ne peux pas le télécharger. Je peux le configurer pour que seuls les ordinateurs locaux puissent y accéder.

En outre, puisque nous parlons de sécurité, Splashtop offre de nombreuses autres fonctionnalités de sécurité telles que l’authentification de l’appareil, l’authentification à deux facteurs (2FA), l’authentification unique (SSO) et plus encore. Toutes ces fonctionnalités de sécurité supplémentaires sont des choses qu’un VPN ne peut pas offrir.

Vous avez posé une question sur les inconvénients de la technologie d’accès à distance. Le seul inconvénient est qu’il y a une courbe d’apprentissage à mesure que les gens adoptent des solutions d’accès à distance. Mais, comme Splashtop a été conçu à l’origine pour le marché grand public, le temps nécessaire pour l’apprendre est minime. Et par minimal, je veux dire en quelques minutes pour l’utilisateur moyen.

Michelle Burrows:Parlez-moi d’un VPN vs Splashtop?

Jerry Hsieh : Parfois, j’entends dire qu’une différence pourrait être un investissement fixe par rapport au modèle d’abonnement proposé par Splashtop lorsque vous comparez les prix d’un VPN et de Splashtop. Un VPN est un investissement à long terme que certaines personnes peuvent faire une fois. Mais, ils oublient que les passerelles VPN tombent souvent en panne et qu’investir dans une passerelle de sauvegarde coûte cher. De plus, un VPN nécessite une maintenance – pour les mises à niveau des vulnérabilités et des correctifs. Splashtop prend en charge les travaux de maintenance et de sécurité. Splashtop ne nécessite aucun entretien et est disponible vingt-quatre heures sur vingt-quatre, sept jours sur sept.

Michelle Burrows :Quand vous n’êtes pas obsédé par la sécurité, que faites-vous pour vous amuser ?

Jerry Hsieh : Comme vous l’avez probablement compris, je n’ai pas beaucoup de temps d’arrêt. Quand j’ai du temps libre, j’aime jouer au golf. Ma femme n’est peut-être pas folle de mon rôle, mais j’aime rester au courant des tendances en matière de sécurité et du travail que je fais tous les jours.

Contenu connexe

Sécurité

Conformité HIPAA : Principales Réglementations, Meilleures Pratiques et Comment Rester Conformément

En savoir plus
Sécurité

Les pratiques de cybersécurité indispensables pour tous les gamers

Sécurité

Qu’est-ce que le Patch Tuesday ?

Sécurité

Transfert de port - Types, considérations de sécurité et meilleures pratiques

Voir tous les articles
Recevez les dernières nouvelles de Splashtop
AICPA SOC icon
Copyright ©2024 Splashtop Inc. Tous droits réservés.